2025年網(wǎng)絡(luò)工程師職業(yè)技能測試卷網(wǎng)絡(luò)故障診斷與排除試題及答案一、物理層與數(shù)據(jù)鏈路層故障診斷1.單選題某園區(qū)網(wǎng)新部署一批24口接入交換機，上線后發(fā)現(xiàn)所有端口指示燈呈綠色常亮，但用戶終端無法獲取DHCP地址。工程師在交換機上執(zhí)行displayinterfacebrief|includeup輸出中所有端口均為“up/up”，yet抓包發(fā)現(xiàn)端口收不到任何以太網(wǎng)幀。最可能的原因是A.端口被錯誤配置為portisolateB.整臺交換機VLAN數(shù)據(jù)庫被清空C.光纖收發(fā)光口接反導(dǎo)致單向鏈路D.交換機全局生成樹模式被改為MSTP且實例0被移除答案：B解析：指示燈常亮說明物理層協(xié)商成功；收不到任何幀說明MAC層沒有流量。若VLAN數(shù)據(jù)庫被清空，端口會被動態(tài)劃分到VLAN1，但VLAN1在數(shù)據(jù)庫中不存在，導(dǎo)致幀被丟棄。portisolate僅影響單播轉(zhuǎn)發(fā)，不會導(dǎo)致完全收不到幀；單向鏈路通常表現(xiàn)為端口up/down；MSTP實例0被移除不會阻止幀進入端口。2.多選題工程師在排查千兆電口頻繁up/down故障時，使用displaylogbuffer|includeGigabitEthernet1/0/24發(fā)現(xiàn)大量%LINEPROTO5UPDOWN:LineprotocolonGigabitEthernet1/0/24,changedstatetodown%PHY_SWITCH3PORT_FLAP:GigabitEthernet1/0/24linkflap5timesin30seconds以下哪些操作有助于定位根因A.在端口下配置carrierdelaymsec0B.使用TDR時域反射儀測試線對阻抗C.將端口速率強制為100MbpsFullD.檢查對端是否開啟EEE節(jié)能以太網(wǎng)E.在端口下配置loopbackinternal觀察誤碼答案：B、C、D解析：carrierdelay0會加速震蕩，不利于定位；loopbackinternal只能自環(huán)本端，無法檢測鏈路質(zhì)量。TDR可發(fā)現(xiàn)線纜斷路或阻抗突變；強制百兆可排除千兆協(xié)商不穩(wěn)；EEE在部分芯片上會導(dǎo)致鏈路休眠誤判。3.填空題在華為設(shè)備上，若需查看光模塊接收光功率是否低于接收靈敏度，應(yīng)執(zhí)行命令________，若輸出中RxPower顯示為28.50dBm，而該模塊靈敏度為24.0dBm，則該鏈路處于________狀態(tài)。答案：displaytransceiverinterfaceGigabitEthernet1/0/25verbose；欠光（或光功率不足）解析：RxPower低于靈敏度會導(dǎo)致誤碼率上升，出現(xiàn)隨機CRC錯誤。4.簡答題某次機房搬遷后，工程師發(fā)現(xiàn)核心交換機與防火墻互聯(lián)的萬兆多模光纖鏈路出現(xiàn)大量CRC錯誤，但光功率正常。請給出至少三條排查思路并說明原理。答案與解析：1)檢查光纖彎曲半徑：多模光纖彎曲半徑小于30mm時會產(chǎn)生高階模衰減，導(dǎo)致模間色散增大，出現(xiàn)碼間干擾。2)驗證光纖端面清潔度：使用400倍顯微鏡觀察，若端面有劃痕或灰塵，會引入反射損耗，產(chǎn)生回波干擾。3)確認跳線是否為OM3及以上等級：萬兆速率下OM1/OM2帶寬不足，需使用有效模式帶寬達2000MHz·km的OM3。4)核查光模塊型號：萬兆多模應(yīng)使用850nmSR光模塊，若誤插1310nmLR模塊，雖能發(fā)光但多模色散過大。5)測試光纖長度：OM3最大支持300m，若實際距離超限需改用單模。二、網(wǎng)絡(luò)層與路由故障診斷5.單選題公司總部與分支建立IPsecoverGRE隧道，總部路由器R1顯示Tunnel0:interfaceup,lineprotocolup但分支內(nèi)網(wǎng)無法訪問總部服務(wù)器。在R1上執(zhí)行pingsource（為Tunnel0地址）可以通，但pingsource（為分支內(nèi)網(wǎng)段）失敗。最可能缺失的配置是A.總部未將/24加入IPsecACLB.分支未配置iprouteTunnel0C.總部未配置NAT豁免D.總部未關(guān)閉反向路由檢查答案：A解析：Tunnel0本身up說明GRE協(xié)商成功；源地址為Tunnel地址能通說明IPsec加密正常；源地址為分支內(nèi)網(wǎng)不通，說明流量未被加密，根本原因是ACL未包含該網(wǎng)段。6.多選題在運行OSPF的骨干區(qū)域中，路由器R3的Loopback0（/32）突然無法被其他路由器學(xué)到。在R3上執(zhí)行displayospflsdbrouterselforiginate發(fā)現(xiàn)LSage為3600秒，序列號未變。以下哪些情況可能導(dǎo)致該現(xiàn)象A.R3的Loopback0被誤配置為silentinterfaceB.R3與鄰居MTU不匹配導(dǎo)致DD報文被丟棄C.R3的RouterLSA被自己的非法Routeid沖突實例覆蓋D.R3的OSPF進程被重置但配置未保存E.區(qū)域0被誤配置為stub，而R3未下發(fā)默認路由答案：A、C解析：LSage3600秒表示該LSA已老化，說明R3未刷新。silentinterface會阻止發(fā)送OSPF報文，導(dǎo)致鄰居收不到更新；Routerid沖突時，較高IP的實例會覆蓋較低IP的LSA，導(dǎo)致原LSA老化。MTU不匹配僅影響鄰接建立；進程重置會清空LSDB；stub區(qū)域不會導(dǎo)致LSA老化。7.填空題在IPv6網(wǎng)絡(luò)中，工程師使用pingipv62001:DB8::1c1s1452發(fā)現(xiàn)報文不可達，但pingipv62001:DB8::1c1s1432可達。路徑MTU最可能為________字節(jié)，此時應(yīng)開啟________機制以避免后續(xù)碎片。答案：1432+40=1472；ICMPv6PacketTooBig（或PMTUD）解析：IPv6頭40字節(jié)，1452+40=1492>1472，被丟棄；1432+40=1472剛好通過。8.綜合題某企業(yè)網(wǎng)絡(luò)運行BGP/MPLSIPVPN，CEPE間使用OSPF。客戶反饋VPN站點A無法訪問站點B的語音網(wǎng)段/24。在PE1上執(zhí)行displaybgpvpnv4vpninstanceVoiceroutingtable顯示最優(yōu)路由來自PE2，下一跳為，但displaymplslspdestination無結(jié)果。請給出逐步排查命令并解釋原理。答案與解析：步驟1：檢查IGP是否已把/32通告到PE1命令：displayiproutingtable若無路由，說明LDP無法建立映射。步驟2：檢查LDP會話命令：displaymplsldppeer若狀態(tài)非Operational，檢查傳輸鏈路上是否啟用mplsldp。步驟3：檢查BGP下一跳self命令：displaybgpvpnv4allroutingtable若Nexthop為且未做nexthopself，需在PE2上對PE1配置peernexthoplocal。步驟4：檢查標簽分發(fā)命令：displaymplslspinclude24若無標簽，說明BGP未分配標簽，需在PE2上配置routepolicy附加mplslabel。原理：BGPVPNv4路由依賴LDP提供transport標簽，若LSP斷裂，即使BGP路由最優(yōu)也無法轉(zhuǎn)發(fā)。三、傳輸層與應(yīng)用層故障診斷9.單選題公司DNS服務(wù)器位于DMZ，采用anycast地址3/32，通過OSPF發(fā)布。外網(wǎng)用戶解析時延高且間歇性失敗。抓包發(fā)現(xiàn)客戶端收到ICMPType3Code4（FragmentationNeeded）報文，但報文源地址并非DNS服務(wù)器。最可能的原因是A.路徑MTU發(fā)現(xiàn)被防火墻過濾B.DNS響應(yīng)超過接口MTU且DF位置1C.中間路由器未開啟OSPF負載均衡D.anycast節(jié)點間未同步UDP會話狀態(tài)答案：B解析：ICMPType3Code4表示需要分片但DF置位，說明DNS響應(yīng)報文大于路徑最小MTU且不允許分片，客戶端因此無法收到完整響應(yīng)。10.多選題某電商網(wǎng)站使用HTTPS，用戶投訴支付頁面加載慢。工程師在服務(wù)器側(cè)抓包發(fā)現(xiàn)TLS握手階段ServerHello后，客戶端立即發(fā)送RST。以下哪些因素可能導(dǎo)致該現(xiàn)象A.服務(wù)器證書鏈缺少中間CA，客戶端驗證失敗B.服務(wù)器選用的CipherSuite被客戶端列入黑名單C.服務(wù)器啟用了TLS1.3，但客戶端防火墻丟棄了EncryptedExtensionsD.服務(wù)器SNI字段與證書CN不符E.客戶端時鐘偏差導(dǎo)致證書有效期校驗失敗答案：A、B、D、E解析：TLS1.3的EncryptedExtensions被丟棄不會立即觸發(fā)RST，而是握手超時；其余四項均會在驗證階段觸發(fā)致命alert或RST。11.填空題在Linux服務(wù)器上，若需確認80端口是否處于SYN_RECV狀態(tài)，應(yīng)使用命令________，若該狀態(tài)數(shù)量持續(xù)大于500，則極有可能遭受________攻擊。答案：ssant|grepcSYNRECV；SYNFlood解析：SYN_RECV表示服務(wù)器已回復(fù)SYN+ACK但尚未收到最終ACK，大量積壓說明半開連接耗盡。12.實驗題請寫出在WindowsServer2019上利用pktmon捕獲HTTP3次握手并保存為pcapng的完整命令行，并說明如何過濾僅保留目標端口80的流量。答案與解析：步驟1：安裝包監(jiān)視器pktmonfilteraddp80步驟2：開始捕獲并保存pktmonstartchttp.pcapngmrealtime步驟3：停止pktmonstop過濾原理：pktmon在內(nèi)核層早期截獲幀，p80匹配TCP/UDP目標端口，生成的pcapng可用Wireshark打開，三次握手標志位分別為SYN、SYN+ACK、ACK。四、數(shù)據(jù)中心與虛擬化網(wǎng)絡(luò)故障13.單選題某OpenStack環(huán)境使用VXLAN自研控制器，突然所有虛擬機無法跨節(jié)點通信。在計算節(jié)點抓包發(fā)現(xiàn)VTEP源端口4789的UDP報文被丟棄。最可能的根因是A.物理交換機未開啟jumboframe導(dǎo)致VXLAN包超長B.安全組誤把UDP4789列入黑名單C.控制器下發(fā)VNI與節(jié)點不匹配D.物理網(wǎng)卡offload把VXLAN內(nèi)層MAC誤當(dāng)外層答案：B解析：UDP4789被安全組丟棄會直接阻斷VXLAN流量；jumboframe問題通常表現(xiàn)為分片或ICMPNeedFrag；VNI不匹配會表現(xiàn)為單播不通但廣播可達；offload問題極少導(dǎo)致全部丟棄。14.多選題在Kubernetes集群中，PodA無法通過ClusterIP訪問PodB，但直接訪問PodB的IP可通。以下哪些排查手段有助于定位A.在PodA所在節(jié)點檢查iptablestnatLKUBESERVICESB.在CoreDNSPod內(nèi)執(zhí)行dig@localhostspace.svc.cluster.localC.檢查kubeproxy日志是否報“conntracktablefull”D.檢查CNI插件是否啟用hairpin模式E.檢查PodB的readinessProbe是否失敗答案：A、B、C、E解析：hairpin模式解決的是Pod訪問自身Service，與跨Pod無關(guān)；其余四項均可導(dǎo)致ClusterIP不可達。15.填空題在VMwarevSphere7.0中，若虛擬機開啟SRIOV，物理主機需將BIOS中的________設(shè)置為Enabled，否則VF無法分配到虛擬機。答案：IntelVTd（或AMDVi）解析：SRIOV依賴IOMMU實現(xiàn)DMA重映射，關(guān)閉VTd會導(dǎo)致PF驅(qū)動無法創(chuàng)建VF。16.案例分析題某金融私有云采用SpineLeafVXLANEVPN架構(gòu)，LeafTOR為CE6881，Spine為CE12800。某日交易員反饋行情組播出現(xiàn)丟包。在Leaf上執(zhí)行displayigmpsnoopingportinfovlan100group發(fā)現(xiàn)無出端口，但displayevpnigmpjoingroup能看到遠端Leaf已發(fā)送IGMPJoin。請給出排查步驟并解釋EVPNIRB轉(zhuǎn)發(fā)原理。答案與解析：步驟1：檢查EVPN實例是否使能IGMPProxy命令：displayevpnvpninstanceVoice|includeIGMP若未使能，則Leaf不會將IGMPJoin轉(zhuǎn)換為EVPNRT3路由。步驟2：檢查RT3路由是否攜帶PMSI屬性命令：displaybgpevpnroutetype3|include若無PMSI，說明未建立inclusivetunnel。步驟3：檢查VXLAN隧道是否up命令：displayvxlantunnel若隧道down，需檢查underlayBGPEVPNpeer。步驟4：檢查LeafVTEP是否將組播流量映射到VNI原理：EVPNIRB在入口Leaf執(zhí)行VLAN→VNI封裝，組播流量封裝為VXLAN頭，外層目的IP為組播GIPO（224.0.0.x），Spine運行PIMSM將GIPO流量轉(zhuǎn)發(fā)給所有VTEP，遠端Leaf解封裝后根據(jù)IGMPSnooping表轉(zhuǎn)發(fā)。若缺少RT3，遠端Leaf無法知道需要接收該組播流量，導(dǎo)致丟包。五、安全與合規(guī)故障17.單選題公司部署了IPS，策略為“阻斷SQL注入”。某日官網(wǎng)搜索功能被誤攔截，日志顯示命中規(guī)則“select.from.where.1=1”。管理員希望僅對POST方法生效，應(yīng)調(diào)整IPS的A.規(guī)則例外B.流量預(yù)處理過濾器C.響應(yīng)動作集D.簽名置信度答案：B解析：預(yù)處理過濾器可在簽名匹配前排除HTTPGET，減少誤報；規(guī)則例外需手動加白名單，維護成本高。18.多選題等保2.0三級要求“應(yīng)對審計記錄進行集中收集和管理”。若Linux服務(wù)器使用rsyslog轉(zhuǎn)發(fā)日志到SIEM